Нужно ли контролировать личные коммуникации на работе
Нашумевший не так давно прецедент, созданный вердиктом ЕСПЧ по делу увольнения румынского инженера, поставил перед компанией «Смарт Лайн Инк», как разработчиком DLP-системы DeviceLock DLP, вопрос о востребованности DLP-решений для контроля личных коммуникаций сотрудников в производственном контексте. Мы решили выяснить мнение российских корпоративных клиентов, для чего провели открытый опрос, а также хотим поделиться своим мнением по вопросу контроля личных коммуникаций в корпоративной среде.
Поданный уволенным сотрудником иск о нарушении тайны переписки привел к неожиданным последствиям: 12 января 2016 г. Европейский суд по правам человека (ЕСПЧ) признал право работодателя просматривать личные сообщения, отправленные и полученные сотрудником в рабочее время, если в организации установлены соответствующие правила. Созданный Европейским Судом прецедент крайне полезен как минимум для тех работодателей, которые заботятся о состоянии безопасности компании в разных ее проявлениях.
Суть дела на первый взгляд весьма проста: румынский инженер Богдан Барбулеску, работавший в некоей организации с лета 2004 г., был уведомлен работодателем о том, что в ходе мониторинга его коммуникаций в мессенджере Yahoo! были выявлены записи в периоде с 5 по 13 июля 2007 г., свидетельствующие об использовании сети Интернет в личных целях, что противоречит внутренним положениям организации. 45 страниц отчета показывали, что во время работы г-н Барбулеску обсуждал с братом и невестой разные вопросы, очевидно не относящиеся к рабочим задачам. В отчете также присутствовало 5 сообщений личного характера, сделанных из личной учетной записи Yahoo!. 1 августа 2007 г. работодатель разорвал трудовой контракт с Барбулеску, обосновав это нарушением внутренних регламентов, а именно нарушением строгого запрета на использование корпоративных компьютеров в личных целях. Не согласившийся с таким решением работодателя инженер подал иск в городской суд Бухареста, ссылаясь на неправомерность увольнения как основанного на данных, полученных незаконным путем, нарушающим к тому же его конституционные права. Однако же, суд не удовлетворил жалобу и отказал Барбулеску, полностью поддержав работодателя и сославшись на использование корпоративной техники при наличии соответствующих запретительных регламентов, о чем сотрудник был надлежащим образом уведомлен. Суд также указал, что Интернет на рабочем месте должен оставаться инструментом, который сотрудник использует для выполнения своих должностных обязанностей и никак иначе. Спустя год Бухарестский апелляционный суд отклонил апелляцию Барбулеску, основанную на якобы имевшем место нарушении его личной жизни и тайны переписки.
Действительно, статья 26 Конституции Румынии декларирует право на неприкосновенность личной и семейной жизни, а статья 28 защищает право на тайну переписки.
Обратившись уже в ЕСПЧ, Барбулеску особо настаивал на том, что Yahoo! Messengerпо своей природе предназначен для личного использования, вследствие чего он ожидал, что его сообщения останутся частными. Европейский суд доводы инженера не принял, как и предыдущие инстанции. «Работодатель действовал в рамках своих полномочий, поскольку получил доступ к учетной записи YahooMessenger, полагая, что информация, о которой идет речь, связана с профессиональной деятельностью сотрудника, и, следовательно, доступ к ней являлся законным. Суд не видит оснований сомневаться в этом», – следует из решения суда. Вместе с тем в определении ЕСПЧ говорится о неприемлемости неограниченной слежки и необходимости ввода четких правил, устанавливающих характер и методы сбора информации о сотрудниках. Примечательно, что один из восьми судей, рассматривавших дело, выразил иное мнение, заявив о неприемлемости полного запрета на пользование Интернетом в рабочее время в личных целях и подчеркнув, что компаниям стоит как можно более доходчиво доносить до своих сотрудников правила, согласно которым работодатель может проводить контроль и мониторинг действий сотрудников с корпоративной техникой и каналами связи.
Несмотря на то что в рассматриваемом деле фигурировал только Yahoo! Messenger, вряд ли вынесенное решение изменилось бы в случае с любым другим ПО, будь то мессенджер, социальная сеть или иной сервис либо физическое устройство. Главное, что своим вердиктом закрепил ЕСПЧ – это право работодателя удостовериться в том, что в рабочее время сотрудник выполняет рабочие обязанности.
Российская практика судебных решений в целом вторит вердикту ЕСПЧ, несмотря на мнение любителей ссылок на Конституцию и неприкосновенность личной жизни на рабочем месте. Российские суды признают отсылку к упомянутым правам несостоятельной, если информация о нарушении сотрудником трудовой дисциплины или коммерческой тайны предприятия извлечена работодателем из корпоративных компьютеров, используемых для осуществления трудовых функций работника.
По большому счету, решение ЕСПЧ дает вполне прозрачные и понятные основания для работодателя в деле контроля сотрудников и их внешних коммуникаций. Однако, вопросов при этом остается все равно довольно много.
Где находится та черта, которая разделяет личные данные, защищаемые статьей 23 Конституции РФ, и принадлежащие работодателю данные, используемые на корпоративных компьютерах? Возможно ли разделить личные и корпоративные данные на техническом уровне, чтобы принципиально избежать обвинения работодателя в нарушении конституционных прав сотрудников? Допустимо ли вообще вести контроль и мониторинг использования сети Интернет и различных устройств? Можно ли сотрудникам использовать личные устройства для выполнения должностных обязанностей в стратегии BYOD, учитывая, что запрет использования личных коммуникаций на личном устройстве попросту невозможен?
Как разработчики одной из самых популярных DLP-систем, позволяющих контролировать как внешние коммуникации сотрудников, так и использование различных подключаемых устройств, мы провели открытый опрос, чтобы узнать мнение российских корпоративных клиентов компании «Смарт Лайн Инк» о возможности и приемлемости применения технических средств для контроля личных коммуникаций на работе.
Забегая вперед, хотел бы отметить, что более 63% респондентов твердо заявили о допустимости мониторинга персональных коммуникаций сотрудников с корпоративных компьютеров и только 22% полагают, что таковой мониторинг недопустим, поскольку противоречит Конституции.
Первый вопрос, который нас интересовал – это вариант решения проблемы «в лоб», путем полного запрета персонального доступа в Интернет и персональных коммуникаций с рабочих мест. Вопрос был поставлен достаточно широко, и учитывал возможность коммуникаций с личных устройств из защищенной корпоративной среды. Здесь стоит сделать небольшое пояснение – мы безусловно полагаем, что запрещать использование современных личных устройств (смартфонов, планшетов, лэптопов) для выполнения должностных обязанностей не только невозможно, но и непродуктивно. Напротив, предприятию выгодно обеспечить сотрудникам максимально комфортный доступ к персональным коммуникациям, в том числе – в рабочее время, поскольку такие коммуникации повсеместно используются для бизнеса, а значит, повышается эффективность производственных процессов и результативность труда сотрудников. Полный запрет личных устройств приводит к отказу от всех преимуществ консьюмеризации и BYODкак стратегии, стимулирующей сотрудников эффективно решать рабочие задачи с личных, удобных в использовании гаджетов. С такой логикой согласились 32% ответивших на опрос. Здесь стоит отметить, что технология VirtualDLP[1], предлагаемая «Смарт Лайн Инк» для решения проблемы контроля корпоративных данных в стратегии BYOD, предполагает, что личное устройство имеет доступ к производственным данным исключительно через удаленный доступ к корпоративным виртуальным средам. При этом личные данные и учетные записи в коммуникационных сервисах свободно используются вне контролируемой терминальной сессии на BYOD-устройстве.
Большинство респондентов (45%), отвечая на вопрос о полном запрете персональных коммуникаций, полагает, что полный запрет нерационален, но стоит подумать о частичном ограничении уровней доступа, а также избирательном мониторинге.
Примечательно, что почти 17% респондентов придерживается жесткого мнения о необходимости запрета личных коммуникаций необходим, поскольку основной массе сотрудников нечего делать в Интернете – они должны исполнять свои должностные обязанности.
С технической точки зрения, все три основных варианта, выбранные отвечавшими на вопрос, реализуемы. Полный запрет практически всех известных на сегодня веб-сервисов передачи и обмена данными может быть успешно реализован современными DLP-системами в сочетании (или без него) с корпоративным брандмауэром, равно как и запрет использования устройств хранения данных и канала печати. Для большей гибкости и избирательности контроля доступа к каналам коммуникаций требуется использование хостовых DLP-систем, когда перехват сетевых коммуникаций осуществляется непосредственно на рабочих компьютерах сотрудников.
Во втором вопросе мы поинтересовались, считают ли наши клиенты допустимым мониторинг предприятием коммуникаций сотрудников с корпоративных компьютеров. Этот вопрос предполагал уже не запрет – а контроль содержания передаваемых данных, а значит, и потенциальную возможность получения службой ИБ доступа к сведениям личного характера, на недопустимость чего упирают сторонники конституционных прав. Собственно, почти 23% респондентов так и ответили – мониторинг недопустим, поскольку право на тайну личной переписки защищено Конституцией. Однако более 62% участников опроса считает, что на используемых в производственном процессе вычислительных средствах и средах предприятие имеет право контролировать содержание персональных коммуникациях для выявления запрещенной к распространению служебной информации и блокировки таких коммуникаций с целью предотвращения утечек корпоративных данных.
Наконец, третий и последний вопрос касался уже допустимости сбора, обработки и хранения службой ИБ предприятия содержания персональных коммуникаций в целях защиты от утечек корпоративных данных. Ответы на этот вопрос практически совпали по распределению с предыдущими – более 63% респондентов полагают, что таковые технические мероприятия допустимы в целях выявления случаев утечки данных, их расследования, применения мер к нарушителям правил работы с корпоративной информацией, сбора доказательств для судебных разбирательств, а также для аудита ИБ. 24% респондентов продолжают настаивать на том, что это недопустимо в силу защиты данных, составляющих личную переписку, Конституцией.
Здесь стоило бы задать вопрос – а возможно ли отделить зерна от плевел? Есть ли техническая возможность перехватывать только те персональные коммуникации, в которых выявлены конфиденциальные корпоративные данные? Возможно ли собирать, обрабатывать и хранить только эту часть коммуникаций работника, исключив таким образом проблему сбора и хранения личных коммуникаций организацией?
Правильный ответ – да, возможно. Если в полной мере использовать возможности контентной фильтрации, можно обеспечить детектирование только тех данных, которые непосредственно являются конфиденциальной корпоративной информацией, - например, содержат интересующие службу ИБ признаки, теги, ключевые слова и выражения.
Для примера можно рассмотреть такой сценарий: запретить сотрудникам финансового подразделения компании пересылку конфиденциальных финансовых данных по электронной почте и мессенджерам, а также публикацию соответствующих документов в файлообменных сервисах, не ограничивая при этом передачу прочих данных (включая, конечно же, и личные данные). При этом все попытки отсылки конфиденциальных финансовых данных должны протоколироваться и вместе с теневыми копиями писем, сообщений и вложений сохраняться в центральной базе данных. В командировках такая пересылка разрешается только по SMTP-почте и только высшему руководству организации, с обязательным протоколированием и сохранением теневых копий писем и вложений.
Единственно возможным техническим решением такой задачи является использование endpointDLP-агентов, устанавливаемых на защищаемых настольных и портативных компьютерах сотрудников и перехватывающих коммуникации непосредственно на их источнике. При корректном задании правил контентного анализа служба ИБ может контролировать содержимое исходящих сообщений в чатах, почте и передаваемых файлах, когда контент данных фильтруется в момент передачи непосредственно на хосте согласно корпоративным DLP-политикам. Для анализа текстовых данных, представленных в графической форме, которых требуется резидентный OCR-модуль в составе DLP-системы. В endpointDLP-архитектуре решается также проблема мобильных сотрудников, работающих вне офиса компании с лэптопов – а значит, за пределами периметра корпоративной сети и вне контроля со стороны корпоративных средств ИБ, «заточенных» на защиту офисной сети.
Завершая тему, вернемся вновь к вопросу нужности и реализуемости контроля личных коммуникаций для целей обеспечения ИБ. Как показывают результаты опроса – контроль личных коммуникаций сотрудников с корпоративных компьютеров безусловно нужен. С технической точки зрения такой контроль возможен при правильном подходе к использованию технологий контентной фильтрации на фазе перехвата передаваемых, сохраняемых или печатаемых данных. Кроме того, при обработке данных и теневых копий перехваченных документов и содержимого переписки исключительно важно эффективное применение контентного анализа для поиска в собранном архиве корпоративных данных.
В качестве технического решения для задачи контроля коммуникаций сотрудников мы рекомендуем выпускаемый российской компанией «Смарт Лайн Инк» программный комплекс DeviceLock DLP. Резидентные агенты DeviceLockобеспечивают инспекцию и протоколирование каналов сетевых коммуникаций независимо от используемых ими портов и способа выхода в Интернет, от доступности корпоративной сети или подключения к корпоративным серверам, а также контроль и протоколирование работы пользователей с устройствами. И что особенно важно – технологии контентной фильтрации DeviceLockDLP позволяют установить «прицел» именно на корпоративный контент, не «охотясь» при этом содержанием действительно личных коммуникацией.
Сергей Вахонин, директор по решениям компании «Смарт Лайн Инк»